14.wireshark学习-网络取证练习1

最新推荐文章于 2023-05-15 18:17:15 发布
最新推荐文章于 2023-05-15 18:17:15 发布
阅读量1.9k 收藏 21
点赞数 1
分类专栏: 安全工具 文章标签: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36810852/article/details/107367520
版权

网络取证练习

http://forensicscontest.com/puzzles

1

每道题都是给一个数据包,一些问题,分析数据包

难题1:安的不良目标
九月25,2009 / 管理 / 5评论
Anarchy-R-Us,Inc.怀疑他们的一名雇员Ann Dercover确实是为竞争对手工作的秘密特工。Ann可以使用公司的奖励资产,即秘方。安全人员担心安可能会泄露公司的秘密秘方。

安全人员一直在监视Ann的活动,但直到现在都没有发现可疑之处。今天,一台意外的笔记本电脑短暂出现在公司的无线网络上。工作人员假设它可能是停车场中的某个人,因为在建筑物中没有看到陌生人。安的计算机(192.168.1.158)通过无线网络向该计算机发送了IM。此后不久,流氓笔记本电脑便消失了。

安全人员说:“我们对活动进行了数据包捕获,但是我们无法弄清楚发生了什么。你能帮我吗?”

您是法医调查员。您的任务是弄清楚Ann是谁的IM-ing,她发送了什么,并找回证据,包括:

1. Ann的IM好友的名字是什么?
2.捕获的IM对话中的第一个评论是什么?
3. Ann传送的文件的名称是什么?
4.您要提取的文件(前四个字节)的幻数是多少?
5.文件的MD5sum是什么?
6.什么是秘方?

这是您的证据文件:

http://forensicscontest.com/contest01/evidence01.pcap
MD5(evidence.pcap)= d187d77e18c84f6d72f5845edca833f5

1.打开下载的数据包

可以看到使用ssl加密,我们知道他使用了IM软件,但不知道是什么
2

先查看通信的ip地址,可以看到是美国的aol公司

3

接着查找aol公司的通信软件,叫做AIM,Wireshark提供对各种通信工具的解密方法,我们把它当做AIM协议来解析。

4

右键,解码为(用另一种方式解码)我们的目的是把使用443端口的通信都使用AIM来解析

5

如图修改

6

可以看到,显示为AIM数据包

7

接下来我们回到第一个问题:

Ann的IM好友的名字是什么?

AIM软件中好友是buddy字段

我们一个个数据包往下看,发现第25个包中有,因此答案为Sec558user1

8

接下来看第二个问题
2.捕获的IM对话中的第一个评论是什么?
Here's the secret recipe... I just downloaded it from the file server. Just copy to a thumb drive and you're good to go >:-)

刚刚的数据包中往下看就是内容

3. Ann传送的文件的名称是什么?
我们知道文件传输使用data字段来过滤

10

过滤后,追踪流。很明显看到word文件名称,因此答案为recipe.docx

11

4.您要提取的文件(前四个字节)的幻数是多少?

幻数是文件前四个字节

保存文件,记得保存原始数据

12

打开后可以看到PK,PK就是word文件的幻数,也就是说见到开始是PK的文件就是word文件。

13

答案:前四个字节 50 4B 03 04

14

5.文件的MD5sum是什么?

使用校验工具校验,求出md5MD5:8350582774E1D4DBE1D61D64C89E0EA1

15

6.什么是秘方?

把pk前面的都删了,修改后缀名为docx.内容就出来了
16

人间且慢行呀
关注
  • 1
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WireShark网络取证分析第一集
Fly_鹏程万里
10-20 323
Anarchy-R-Us公司怀疑他们的员工Ann Dercover实际上是他们竞争对手的秘密特工,Ann可以接触公司的重要资产—秘密配方,安保人员担心Ann可能试图泄露公司的秘密配方,安保人员一段时间以来一直监控着Ann的活动,但是直到现在还没有发现任何可疑的行为,直到今天一台意外的笔记本电脑突然出现在公司的无线网络上,工作人员猜测可能是停车场里的某个人,因为在建筑物内没有看到陌生人,An的电脑(192.168.1.158)通过无线网络向这台电脑发送了即时消息,之后这台流氓笔记本电脑很快就消失了,根据安全人
wireshark 流量抓包例题
m0_62277259的博客
09-01 1978
过滤后可以看到两个出现次数比较多的ip,202.1.1.2和192.168.1.8,可以看到202.1.1.2对192.168.1.8进行了攻击。要找到数据库名的话,我们最好去最后那几条去找,看到url中如果包含schema关键字,那大概率就是数据库名。分析后发现仍在尝试SQL注入,注入工具sqlmap,注入点为list[select]可以看到数据库为MariaDB,已经报错,而且表前缀为ajtuc_1.黑客攻击的第一个受害主机的网卡IP地址。1.黑客攻击的第一个受害主机的网卡IP地址。
wireshark取证案例学习笔记
corner55的博客
05-15 1256
有一封信引起了她的注意,它显然是垃圾邮件,但躲过了邮箱的邮件过滤。在等待引渡文件准备的时间里,你和你的团队继续密密地监控她的行为。没意思,张发财女士关掉了浏览器窗口,然后开始一天的工作。图片的md5不能另存为进行md5校验,可以使用压缩软件,当使用Winrar打开后会发现图片是单独的,解压出来,进行校验。你的任务是通过分析pcap文件,找出张发财女士点击了链接后,计算机系统发生了什么。幸运的是,在她消失之前,侦查人员一直在监视她的网络。你的任务是找出张小花发了什么邮件,她去了哪里,并还原一切线索。
基于wireshark练习抓包
醉意丶千层梦的博客
11-16 1871
文章目录步骤1.打开疯狂聊天程序2.发送信息测试连通性3.wireshark进行抓包4.测试分析只发送西文字符只发送中文混合发送总结 步骤 1.打开疯狂聊天程序 2.发送信息测试连通性 3.wireshark进行抓包 通过分析代码可以得知程序通过udp向255.255.255.255发送的信息 在wireshark中输入筛选ip.dst==255.255.255.255进行过滤 可以发现存在这样的包,同时也验证了是基于udp协议进行发送,而且是发送到广播地址255.255.255.255。这样处于同
wireshark练习:根据包文分析出账号密码
qq_60256199的博客
06-13 1196
wireshark根据包文过滤分析账号密码
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
09-15
中职网络安全2021年国赛Wireshark流量分析题目+capture.pcapng数据包文件
世界技能大赛网络安全样题
07-13
通过Wireshark(如"wireshark(ms17-010)")这样的网络封包分析工具,参赛者可以学习如何解析网络通信,识别潜在的威胁和异常行为。 "PacketTracer6.zip"是Cisco Packet Tracer的早期版本,这是一个广泛用于网络设计...
try-hack-me:TryHackMe.com实验室
04-04
1. **网络安全基础**:理解TCP/IP协议栈,学习如何使用ping、traceroute和其他网络诊断工具。 2. **端口扫描**:使用Nmap进行端口扫描,识别目标系统上开放的服务。 3. **漏洞扫描**:学习使用Nessus、OpenVAS等...
Introduction to Wireshark Network Analysis_wiresharkebook_
10-03
7. **实战演练**:为了巩固学习,书中会提供一系列练习题和实战项目,让读者在实际操作中加深对Wireshark的理解和应用。 通过阅读《Wireshark网络分析入门》,读者不仅可以掌握Wireshark的基本操作,还能深入了解...
Red-Team-Challenge-Questions:我们为所有人发布挑战性问题
03-25
4. **网络嗅探与隐藏**:学习如何使用工具如Wireshark进行网络数据包捕获,以及如何使用Tor或VPS等技术隐藏红队活动。 5. **权限提升**:一旦获得初步访问,挑战可能会要求提升在目标系统中的权限,例如从普通用户...
wireshark实验练习
06-13
使用wireshark过滤器,过滤分析并快速找出用户账号和密码。
网络取证实验报告
12-28
1、加强学生对计算机取证的了解,以及实际动手操作进行取证的能力 2、学会在操作系统中的计算机取证网络环境下的计算机取证 3、学会对取得的证据进行简单分析。
Wireshark使用教程.rar
07-09
Wireshark网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 目录: 第 1 章 介绍 4 1.1. 什么是Wireshark 4 1.1.1. 主要应用 4 1.1.2. 特性 4 1.1.3. 捕捉多种网络接口 5 1.1.4. 支持多种其它程序捕捉的文件 5 1.1.5. 支持多格式输出 5 1.1.6. 对多种协议解码提供支持 5 1.1.7. 开源软件 5 1.1.8. Wireshark不能做的事 5 1.2. 系通需求 5 1.2.1. 一般说明 6 1.2.2. Microsoft Windows 6 1.2.3. Unix/Linux 6 1.3. 从哪里可以得到Wireshark 6 1.4. Wiresahrk简史[6] 7 1.5. Wireshark开发维护 7 1.6. 汇报问题和获得帮助 7 1.6.1. 网站 7 1.6.2. 百科全书 7 1.6.3. FAQ 7 1.6.4. 邮件列表 8 1.6.5. 报告问题 8 1.6.6. 在UNIX/Linux平台追踪软件错误 8 1.6.7. 在Windows平台追踪软件错误 9 第 2 章 编译/安装Wireshark 10 2.1. 须知 10 2.2. 获得源 10 2.3. 在UNIX下安装之前 10 2.4. 在UNIX下编译Wireshark 11 2.5. 在UNIX下安装二进制包 12 2.5.1. 在Linux或类似环境下安装RPM包 12 2.5.2. 在Debian环境下安装Deb包 12 2.5.3. 在Gentoo Linux环境下安装Portage 12 2.5.4. 在FreeBSD环境下安装包 12 2.6. 解决UNIX下安装过程中的问题 [10] 12 2.7. 在Windows下编译源 13 2.8. 在Windows下安装Wireshark 13 2.8.1. 安装Wireshark 13 2.8.2. 手动安装WinPcap 14 2.8.3. 更新Wireshark 14 2.8.4. 更新WinPcap 15 2.8.5. 卸载Wireshark 15 2.8.6. 卸载WinPcap 15 第 3 章 用户界面 16 3.1. 须知 16 3.2. 启动Wireshark 16 3.3. 主窗口 16 3.3.1. 主窗口概述 17 3.4. 主菜单 17 3.5. "File"菜单 18 3.6. "Edit"菜单 19 3.7. "View"菜单 20 3.8. "Go"菜单 22 3.9. "Capture"菜单 23 3.10. "Analyze"菜单 24 3.11. "Statistics"菜单 25 3.12. "Help"菜单 27 3.13. "Main"工具栏 27 3.14. "Filter"工具栏 29 3.15. "Pcaket List"面板 29 3.16. "Packet Details"面板 30 3.17. "Packet Byte"面板 30 3.18. 状态栏 31 第 4 章 实时捕捉数据包 32 4.1. 介绍 32 4.2. 准备工作 32 4.3. 开始捕捉 32 4.4. 捕捉接口对话框 32 4.5. 捕捉选项对话框 33 4.5.1. 捕捉桢 34 4.5.2. 捉数据帧为文件。 35 4.5.3. 停止捕捉桢 35 4.5.4. 显示桢选项 35 4.5.5. 名称解析设置 36 4.5.6. 按钮 36 4.6. 捕捉文件格式、模式设置 36 4.7. 链路层包头类型 37 4.8. 捕捉时过滤 37 4.8.1. 自动过滤远程通信 38 4.9. 在捕捉过程中 38 4.9.1. 停止捕捉 39 4.9.2. 重新启动捕捉 39 第 5 章 文件输入/输出及打印 41 5.1. 说明 41 5.2. 打开捕捉文件 41 5.2.1. 打开捕捉文件对话框 41 5.2.2. 输入文件格式 42 5.3. 保存捕捉包 43 5.3.1. "save Capture File As
Wireshark详细中文版使用说明书
02-21
Wireshark详细中文版使用说明书
Wireshark例题-CTF
热门推荐
LYJ20010728的博客
05-14 1万+
Wireshark例题-CTF搜索文件提取例题一例题二信息提取 搜索 题目文件:key.pcapng 题目描述:flag被盗,赶紧溯源! 题目题解: ①可以只将这个数据包当做文本文件打开,比如用一些notepad++编辑器,然后直接搜索 ②用Wireshark自带的搜索功能找尝试查找一些关键词(比如key、flag、shell、pass等),然后跟进可疑的数据包,根据数据包特征,很明显看出这是一个菜刀连接一句话木马的数据包,然后往下找,即可看到读取的flag 文件提取 例题一 题目文件:
Wireshark抓包入门到精通实战教程
03-06
学习利用抓包神器Wireshark分析网络故障,了解网络协议原理,注重实战分析案例。
江西省省赛中职网络安全-流量分析
weixin_48800344的博客
01-05 4136
2021年职业院校技能大赛“网络安全”项目 江西省比赛任务书 一、竞赛时间 总计:420分钟 二、竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 A模块 A-1 登录安全加固 180分钟 200分 A-2 Web安全加固(Web) A-3 流量完整性保护与事件监控(Web,Log) A-4 防火墙策略 A-5 Windows操作系统安全配置 A-6 Linux操作系统安全配置 B模块 B-1 系统漏洞利用与提权 400分 B-2 Linux操作系统渗透测试 B-3 应用服务漏洞扫描与利用 B-4 S
WireShark案例练习
weixin_30954607的博客
09-07 579
WireShark案例 对着数据所在位置右键-导出分组字节流 保存,双击打开 远程木马 右键-追踪流-TCP流 第0个流。 第1个流 第2个流 保存成jpg格式。进入010editor去掉多余代码 图片出来 大黑阔 观察 右键-作为过滤应用-与非选中过滤掉自己不要的。 可以看到聊天内容 看完,会发现会发图片。 找到发图...
"D:\Program Files\Wireshark\Wireshark.exe" -k -S -i -
最新发布
05-16
"D:\Program Files\Wireshark\Wireshark.exe" -k -S -i 是 Wireshark 的命令行参数,其中: -k 表示在启动后立即开始捕获数据包; -S 表示不显示主窗口; -i 后面接网络接口名称或者文件名,表示要捕获的网络接口或者读取的文件。 如果没有提供-i参数的话,Wireshark会自动选择默认的网络接口。 因此,上述命令行表示在启动Wireshark后,立即开始捕获数据包,不显示主窗口,对默认网络接口进行捕获。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值